Qu'est-ce qu'Amazon Macie ?

Avec Macie, vous pouvez automatiser la découverte et le reporting des données sensibles de deux manières : en configurant Macie pour effectuer la découverte automatique des données sensibles, et en créant et en exécutant des tâches de découverte de données sensibles. Si Macie détecte des données sensibles dans un objet S3, il crée une recherche de données sensibles pour vous. La découverte fournit un rapport détaillé des données sensibles détectées par Macie.

La découverte automatisée des données sensibles fournit une visibilité étendue sur l'emplacement des données sensibles susceptibles de se trouver dans votre parc de données Amazon S3. Avec cette option, Macie évalue en permanence votre inventaire de compartiments S3 et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie récupère et analyse ensuite les objets sélectionnés, en les inspectant pour détecter la présence de données sensibles.

Les tâches de découverte de données sensibles permettent une analyse plus approfondie et plus ciblée. Avec cette option, vous définissez l'étendue et la profondeur de l'analyse : les compartiments S3 à analyser, la profondeur d'échantillonnage et les critères personnalisés dérivés des propriétés des objets S3. Vous pouvez également configurer une tâche pour qu'elle ne soit exécutée qu'une seule fois pour une analyse et une évaluation à la demande, ou de manière récurrente pour une analyse, une évaluation et une surveillance périodiques.

Les deux options peuvent vous aider à créer et à conserver une vue complète des données que votre organisation stocke dans Amazon S3 et des risques de sécurité ou de conformité associés à ces données.

Pour découvrir des données sensibles avec Macie, vous pouvez utiliser des critères et des techniques intégrés, tels que l'apprentissage automatique et la correspondance de modèles, pour analyser des objets dans des compartiments S3. Ces critères et techniques, appelés identifiants de données gérés, permettent de détecter une liste importante et croissante de types de données sensibles pour de nombreux pays et régions, notamment plusieurs types d'informations personnelles identifiables (PII), d'informations financières et de données d'identification.

Vous pouvez également utiliser des identifiants de données personnalisés. Un identifiant de données personnalisé est un ensemble de critères que vous définissez pour détecter les données sensibles : une expression régulière (regex) qui définit un modèle de texte correspondant et, éventuellement, des séquences de caractères et une règle de proximité qui affinent les résultats. Avec ce type d'identifiant, vous pouvez détecter les données sensibles qui reflètent vos scénarios particuliers, votre propriété intellectuelle ou vos données propriétaires. Vous pouvez compléter les identifiants de données gérés fournis par Macie.

Pour affiner les analyses, vous pouvez également utiliser des listes d'autorisations. Les listes d'autorisation définissent le texte et les modèles de texte spécifiques que vous souhaitez que Macie ignore dans les objets S3. Il s'agit généralement d'exceptions relatives aux données sensibles correspondant à vos scénarios ou à votre environnement particuliers, par exemple les noms des représentants publics de votre organisation, les numéros de téléphone publics de votre organisation ou des exemples de données que votre organisation utilise pour les tests.

Lorsque vous activez Macie, Macie génère automatiquement et commence à tenir à jour un inventaire complet de vos compartiments S3 à usage général. Macie commence également à évaluer et à surveiller les compartiments à des fins de sécurité et de contrôle d'accès. Si Macie détecte un problème potentiel lié à la sécurité ou à la confidentialité d'un bucket, il crée une politique à votre intention.

Outre les résultats spécifiques, un tableau de bord vous donne un aperçu des statistiques agrégées relatives à vos données Amazon S3. Cela inclut les statistiques relatives à des indicateurs clés tels que le nombre de compartiments accessibles au public ou partagés avec d'autres Comptes AWS personnes. Vous pouvez effectuer une analyse détaillée de chaque statistique pour consulter les données justificatives.

Macie fournit également des informations détaillées et des statistiques pour les différents compartiments S3 de votre inventaire. Les données incluent le détail des paramètres d'accès public et de chiffrement d'un compartiment, ainsi que la taille et le nombre d'objets que Macie peut analyser pour détecter les données sensibles contenues dans le compartiment. Vous pouvez parcourir l'inventaire ou le trier et le filtrer en fonction de certains champs.

Dans Macie, une découverte est un rapport détaillé des données sensibles détectées par Macie dans un objet S3 ou un problème potentiel lié à la sécurité ou à la confidentialité d'un compartiment S3 à usage général. Chaque résultat fournit une note de gravité, des informations sur la ressource affectée et des détails supplémentaires, tels que le moment et la manière dont Macie a détecté les données ou le problème.

Pour consulter, analyser et gérer les résultats, vous pouvez utiliser les pages Résultats de la console Amazon Macie. Ces pages répertorient vos résultats et fournissent les détails de chaque résultat. Ils proposent également plusieurs options pour regrouper, filtrer, trier et supprimer les résultats. Vous pouvez également utiliser Amazon Macie API pour interroger, récupérer et supprimer des résultats. Si vous utilisez leAPI, vous pouvez transmettre les données à une autre application, à un autre service ou à un autre système pour une analyse plus approfondie, un stockage à long terme ou des rapports.

Pour faciliter l'intégration avec d'autres services et systèmes, Macie publie ses résultats sur Amazon EventBridge sous forme d'événements de recherche. EventBridge est un service de bus d'événements sans serveur qui peut acheminer les données de résultats vers des cibles telles que des AWS Lambda fonctions et des rubriques Amazon Simple Notification Service (AmazonSNS). Vous pouvez ainsi surveiller et traiter les résultats en temps quasi réel dans le cadre de vos flux de travail existants en matière de sécurité et de conformité. EventBridge

Vous pouvez configurer Macie pour qu'il publie également les résultats sur. AWS Security Hub Security Hub est un service qui fournit une vue complète de votre niveau de sécurité dans l'ensemble de votre AWS environnement et vous aide à vérifier que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Security Hub vous permet d'évaluer et de traiter plus facilement les résultats dans le cadre d'une analyse plus large du niveau de sécurité de votre entreprise dans AWS. Vous pouvez également agréger les résultats de plusieurs Régions AWS, puis évaluer et traiter les données de résultats agrégées provenant d'une seule région.

Si votre AWS environnement comporte plusieurs comptes, vous pouvez gérer Macie de manière centralisée pour les comptes de votre environnement. Vous pouvez le faire de deux manières : en intégrant Macie à Macie AWS Organizations ou en envoyant et en acceptant des invitations d'adhésion dans Macie.

Dans une configuration à comptes multiples, un administrateur Macie désigné peut effectuer certaines tâches et accéder à certains paramètres, données et ressources Macie pour les comptes membres de la même organisation. Les tâches incluent l'examen des informations relatives aux compartiments S3 détenus par les comptes des membres, l'examen des conclusions des politiques relatives à ces compartiments et l'inspection des compartiments pour détecter la présence de données sensibles dans les compartiments. Si les comptes sont associés via AWS Organizations, l'administrateur Macie peut également activer Macie pour les comptes des membres de l'organisation.

Outre la console Amazon Macie, vous pouvez interagir avec Macie à l'aide d'Amazon Macie. API Amazon Macie vous API donne un accès complet et programmatique aux paramètres, aux données et aux ressources de votre compte Macie.

Pour interagir avec Macie par programmation, vous pouvez envoyer des HTTPS demandes directement à Macie ou utiliser une version actuelle d'un outil de ligne de AWS commande ou d'un. AWS SDK AWS fournit des outils composés de bibliothèques et d'exemples de code pour divers langages et plateformes PowerShell, tels que Java, Go, Python, C++ et. SDKs NET.

AWS Management Console Il s'agit d'une interface basée sur un navigateur que vous pouvez utiliser pour créer et gérer AWS des ressources. Dans le cadre de cette console, la console Amazon Macie permet d'accéder à votre compte Macie, à vos données et à vos ressources. Vous pouvez effectuer n'importe quelle tâche Macie à l'aide de la console Macie : consultez les statistiques et autres informations relatives à vos compartiments S3, créez et exécutez des tâches de découverte de données sensibles, consultez et analysez les résultats, etc.

Avec les outils de ligne de AWS commande, vous pouvez émettre des commandes sur la ligne de commande de votre système pour effectuer des tâches et AWS des tâches Macie. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que celle de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts exécutant des tâches .

AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface (AWS CLI) et le AWS Tools for PowerShell. Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur l'installation et l'utilisation des outils pour PowerShell, consultez le guide de AWS Tools for PowerShell l'utilisateur.

AWS fournit SDKs des bibliothèques et des exemples de code pour divers langages de programmation et plateformes, par exemple Java, Go, Python, C++ et. NET. Ils SDKs fournissent un accès pratique et programmatique à Macie et à d'autres. Services AWS Ils gèrent également des tâches telles que la signature cryptographique des demandes, la gestion des erreurs et le renouvellement automatique des demandes. Pour plus d'informations sur l'installation et l'utilisation du AWS SDKs, voir Outils sur lesquels s'appuyer AWS.

Amazon Macie vous REST API donne un accès complet et programmatique à votre compte, à vos données et à vos ressources Macie. Vous pouvez API ainsi envoyer des HTTPS demandes directement à Macie. Cependant, contrairement aux outils de ligne de AWS commandeSDKs, leur utilisation API nécessite que votre application gère des détails de bas niveau tels que la génération d'un hachage pour signer une demande. Pour plus d'informations à ce sujetAPI, consultez le manuel Amazon Macie Reference API.

AWS Security Hub vous donne une vue complète de l'état de sécurité de vos AWS ressources et vous aide à vérifier que votre AWS environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques. Pour ce faire, il utilise, agrège, organise et hiérarchise vos résultats de sécurité provenant de plusieurs produits Services AWS (y compris Macie) et de AWS partenaires pris en charge (APN). Security Hub vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires dans votre AWS environnement.

Pour en savoir plus sur Security Hub, consultez le guide de AWS Security Hub l'utilisateur. Pour en savoir plus sur l'utilisation conjointe de Macie et Security Hub, consultezÉvaluer les résultats de Macie avec AWS Security Hub.

Amazon GuardDuty est un service de surveillance de la sécurité qui analyse et traite certains types de AWS journaux, tels que les journaux d'événements de AWS CloudTrail données pour Amazon S3 et les journaux d'événements CloudTrail de gestion. Il utilise des flux de renseignements sur les menaces, tels que des listes d'adresses IP et de domaines malveillants, et l'apprentissage automatique pour identifier les activités inattendues, potentiellement non autorisées et malveillantes au sein de votre AWS environnement.

Pour en savoir plus GuardDuty, consultez le guide de GuardDuty l'utilisateur Amazon.